محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

کاملترین آموزش راه اندازی HTTPS Inspection در TMG

HTTPS Inspection قابلیتی است که به شما این امکان را می دهد که در فایروال خود بتوانید ترافیک پروتکل SSL را شنود کنید و محتوای غیرمجاز را در شبکه با با SSL امن شده است مدیریت کنید. در این آموزش به شما یاد می دهیم که چگونه HTTPS Inspection را بر روی فایروال TMG مایکروسافت فعال و از آن استفاده کنید.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

پروتکل HTTPS چیست؟

HTTPS یا HTTP ای که به وسیله SSL امن شده است یکی از معمولترین پروتکل هایی است که امروزه در اینترنت استفاده می شود. با استفاده از HTTPS کلاینت و وب سرور می توانند ارتباطات و تبادلاتی که در بین هم دارند را بصورت کاملا خصوصی و رمزنگاری شده انجام دهند. زمانیکه شما از HTTPS استفاده می کنید نام کاربری و رمزعبور شما بصورت رمزنگاری شده و کاملا حفاظت شده از سمت کلاینت به سمت سرور ارسال می شود و همین امر باعث عدم افشای اطلاعات هویتی شما در بین راه می شود.

در اینکه ارتباط end to end ای که بین کلاینت و سرور در HTTPS برقرار می شود و اطلاعات امنیتی مهم و حریم خصوصی افراد حفظ می شود شکی نیست اما برخی اوقات از قابلیت های این پروتکل سوء استفاده هایی هم می شود. همیشه به دانشجوهای عزیز در کلاسهای شبکه یا امنیت می گویم سعی کنید قبل از انجام یک کار یا وارد کردن یک تکنولوژی در مدار فرهنگ استفاده از آن را هم جا بیندازید ، خدا را شاکریم که در خصوص انجمن تخصصی فناوری اطلاعات ایران فرهنگ ایجاد محتوای با کیفیت را جا انداخته ایم .

همه اینها را گفتیم تا یک مسئله را باز کنیم ، در فرهنگ و یا بهتر بگوییم در حوزه تخصصی فایروال ها و تجهیزات امنیتی شبکه پروتکل HTTPS به عنوان Universal Firewall Bypass Protocol یا در لفظ خودمانی پروتکل جامع دور زدن فایروال شناخته می شود و دلیل این موضوع هم کاملا مشخص است ، بیشتر فایروال ها نمی توانند ارتباطاتی که از طریق پروتکل HTTP در لایه هفتم که لایه Application است و به کمک SSL رمزنگاری شده است را تفتیش ( Inspect ) کنند.

از همین نقطه ضعف موجود در فایروال ها هکر ها می توانند با استفاده از تکنیک های خاص ارتباطای که از جانب کلاینت های شبکه به بیرون با استفاده از HTTPS انجام می شوند را کنترل کنند و فایروال در این میان هیچ غلطی نمی تواند بکند. البته درست است در اینجا لفظ هکر و مهاجم را بکار می بریم

اما فراموش نکنیم که بزرگترین مهاجمین شبکه کاربران داخلی آن هستند ، آنها نیز از این موضوع سوء استفاده می کنند ، آنها با استفاده از HTTPS و سیستم Tunneling ای که در آن ایجاد می شود سیستم های کنترل دسترسی به اینترنت را دور می زنند و مشکلات زیادی را برای شبکه ایجاد می کنند ، برای مثال به وب سایت هایی که جیز ( Jizz ) هستند از نظر سازمان و نباید به آنها دسترسی پیدا شود دسترسی پیدا می کنند.

معرفی قابلیت HTTP Inspection در TMG 2010

فایروال Forefront Threat Management Gateway 2010 یا همان TMG قابلیت ها و امکانات بسیار زیاد و پیشرفته ای برای حفاظت از منابع شبکه های داخلی و مدیریت دسترسی به منابع عمومی موجود در اینترنت توسط کاربران دارد. تنها برخی از قابلیت های مهم TMG شامل فیلترنگ آدرس های URL ، موتور اسکن برای پیدا کردن ویروس ها و کدهای مخرب موجود در ارتباطات ، سیستم تشخیص نفوذ یا IDS و همچنین قابلیت های جلوگیری از نفوذ یا IPS می باشند.

یکی از جالبترین و البته مهمترین تکنولوژی های حفاظتی که TMG ارائه می دهد به نام HTTPS Inspection شناخته می شود. قابلیت HTTPS Inspection این اجازه را به فایروال TMG می دهد که بتواند Session های خروجی از شبکه که از پروتکل HTTPS استفاده می کنند را در خود فایروال پایان بدهند یا در اصطلاح فنی Terminate کنند. خوب تا اینجا که کار شاخی انجام نشده است در واقع کار ساده ای است که پورت 443 را در فایروال بلوکه می کنیم !!!

خیر سیستم کاری HTTPS Inspection بصورت کامل Session مربوط به HTTPS را پایان نمی دهد در واقع این سیستم خود را به عنوان یک واسط برای HTTPS یا بهتر بگوییم یک Proxy برای HTTPS معرفی می کند و دیگر اجازه برقراری ارتباط مستقیم بدون مدیریت به خارج از شبکه توسط HTTPS را نمی دهد. تکنیکی که در HTTPS Inspection استفاده می شود در واقع مدیون یک تکنیک هک به نام Man In The Middle یا MITM است.

TMG در بین Session کلاینت و وب سرور قرار می گیرد و خود را به عنوان یک MITM مورد اعتماد معرفی می کند.زمانیکه کلاینت درخواست اتصال به یک سرور HTTPS خارج شبکه را می کند ابتدا TMG ارتباط وی را با وب سایت مقصد قطع کرده ، یک ارتباط جدید با سرور HTTPS از طریق مبدا خود یعنی فایروال TMG برقرار می کند و SSL Certificate مقصد را دریافت می کند. پس از این حالت TMG اطلاعات موجود در Certificate وب سرور را کپی کرده و با استفاده از این اطلاعات یک Certificate جدید تولید و به کلاینت ارائه می دهد.

اگر کلاینت به Certificate هایی که از طریق TMG ایجاد می شوند اعتماد داشته باشد و TMG جزو Trusted Authorities باشد کلاینت حتی متوجه انجام شدن چنین موردی در شبکه نخواهد شد. خوب چه اتفاقی افتاد ؟ الان اگر کلاینتی درخواست اتصال به وب سایت امنی مثل https://tosinso.com/ را داشته باشد ، ابتدا TMG ارتباط Session خود را با این وب سرور برقرار می کند ، Certificate وب سایت مورد نظر را گرفته و Certificate خود را جایگزین آن می کند و ارتباطات دیگر از طریق TMG برقرار می شوند و TMG می تواند محتویات موجود در HTTPS را نیز مشاهده و بر حسب نیاز Policy های امنیتی خود را اعمال کند.

آموزش راه اندازی HTTPS Inspection در فایروال TMG 2010

برای اینکه بتوانید از قابلیت HTTPS Inspection برای ترافیک های خروجی HTTPS استفاده کنید وارد کنسول مدیریتی TMG شوید و به قسمت Web Access Policy بروید و بر روی Configure HTTPS Inspection در قسمت Task کلیک کنید. تصویر زیر مشابه چیزی است که در کنسول مدیریتی TMG مشاهده خواهید کرد.

تصویر اول : پیکربندی قابلیت HTTP Inspection در TMG



بعد از کلیک کردن بر روی گزینه بالا با تنظیمات HTTPS Outbound Inspection مشابه آنچه در پایین می بینید مواجه خواهید شد ، در اولین تب بر روی قسمت Enable HTTPS Inspection تیک بزنید ، این دقیقا یعنی می خواهید قابلیت HTTPS Inspection را فعال کنید.

تصویر دوم : فعال کردن HTTPS Outbound Inspection در TMG

توجه کنید که فایروال TMGبرای اینکه بتواند Certificate های وب سایت ها را از طرف خودش به کاربر نمایش دهد نیاز دارد که بتواند آنها را با یک Certificate از خودش یا یک CA داخلی Sign کند. شما می توانید به TMG بگویید که خودش یک Certificate ایجاد کند که در این حالت به آن Self-Signed Certificate گفته می شود و یا اینکه می توانید از یک ساختار Public Key Infrastructure ای که قبلا در مجموعه داشته اید استفاده کند ، در اینجا شما می توانید Certificate بدست آمده از CA داخلی را Import کنید.

فعلا در اینجا ما از حالت Self-Signed استفاده می کنیم اما الزامی برای اینکار نیست ، بنابراین بر روی گزینه Use Forefront TMG to generate a certificate کلیک کنید و بر روی دکمه Generate کلیک کنید تا Certificate خودی TMG ایجاد شود ، اگر اطلاعات چندانی در خصوص ساختار CA و PKI و چگونگی راه اندازی آنها ندارید بنده قبلا یک سری مقاله کامل در خصوص این موضوع نوشته ام که می توانید از طریق لینک های زیر به آنها دسترسی پیدا کنید ، این دقیق وجه تمایز وب سایت انجمن تخصصی فناوری اطلاعات ایران با سایر وب سایت ها است :


  1. کاملترین آموزش طراحی PKI ( رمزنگاری کلید عمومی ) از صفر تا صد
  2. آموزش راه اندازی Offline Root CA و Subordinate CA در ویندوز


تصویر سوم : ایجاد Certificate برای TMG جهت استفاده در HTTP Inspection

شما می توانید بعد از انتخاب گزینه Generate یک اسم یا Issuer name برای Certificate خود ایجاد کنید ، الزامی برای اینکار نیست شما می توانید این اسم را به حالت پیشفرض به نام Microsoft Forefront TMG HTTPS Inspection Certification Authority قرار دهید و یا اینکه مثل بنده اسم Certificate را به شکل Unity TMG HTTPS Inspection Scenario for www.tosinso.com training قرار دهید .

یک تاریخ انقضاء یا Expiration Date و همچنین در صورت علاقه یک توضیح کوچک یا Issuer Statement اگر لازم بود در تصویر پایین وارد کنید و بر روی دکمه Generate Certificate Now کلیک کنید. بعد از کلیک کردن بر روی گزینه Generate Certificate Now شما می توانید Certificate ایجاد شده را مشابه تصویر زیر ببینید.

زمانیکه ریز اطلاعات موجود در Certificate را مشاهده می کنید به این نکته توجه کنید که اگر حتی در قسمت قبلی گزینه Never Expire را کلیک کرده باشید در این قسمت یک تاریخ انقضاء یا expiration برای شما در نظر گرفته شده است که قسمت Valid From دقیقا همین مسئله را بیان می کند.

این موضوع کاملا طبیعی است زیرا همه Certificate ها بالاخره باید روزی اعتبارشان به پایان برسد. هر Certificate ای که ایجاد می شود قطعا برای خود یک Private Key دارد که شما در اینجا در آخرین قسمت مشاهده می کنید که یک کلید طلایی با عنوان You have a private key that corresponds to this certificate را مشاهده می کنید این دقیقا همان چیزی است که HTTPS Inspection با آن کار دارد ، بر روی OK کلیک کنید تا ادامه ماجرا را پیش ببریم.


شکل چهارم : نامگذاری و ایجاد Self Signed Certificate برای TMG

خوب تا اینجای کار مشکلی نیست اما اگر یک سری عملیات ها را برای این Self Signed Certificate انجام ندهید HTTPS Inspection شما برای ارتباطات خروجی HTTPS برای کلاینت ها مشکلاتی را ایجاد خواهد کرد. با توجه به اینکه کلاینت های شما به Certificate ای که توسط TMG ایجاد شده است Trust یا اعتماد ندارند به محض اینکه به یک وب سایت اینترنتی HTTPS متصل شوند خطای قرمز رنگی برای HTTPS دریافت خواهند کرد که به خاطر عدم اعتماد به Certificate Authority ای است که توسط TMG ایجاد شده است.

برای اینکه این مشکل حل شود این Certificate بایستی در لیست Trusted Root Certificate Authorities کلاینت های شبکه قرار بگیرد. برای اینکار می توانید از سرویس های Publishing موجود در اکتیودایرکتوری استفاده کنید ، بر روی HTTPS Inspection Trusted Root CA Certificate Options کلیک کنید و گزینه Automatically Through Active Directory را انتخاب کنید.

با کلیک کردن بر روی این گزینه از شما نام کاربری و رمز عبور معتبر مدیر اکتیودایرکتوری درخواست می شود که با گزینه Domain Administrator Credentials این قسمت قابل دسترس می باشد. نام کاربری و رمز عبور را به شکل domain\user وارد کنید برای مثال در دامینی به نام itpro.local شما باید کاربر را به شکل itpro\administrator استفاده کنید. دقیقا مشابه تصویری که در زیر مشاهده می کنید.


تصویر ششم : Publish کردن Certificate از TMG به اکتیودایرکتوری



تصویر ششم : Publish کردن Certificate از TMG به اکتیودایرکتوری



Publish کردن Certificate در اکتیودایرکتوری


همچنین همانطور که در تصویر پایین مشاهده می کنید شما می توانید با انتخاب گزینه Manually on each client computer و دکمه Export to file فایل Certificate ایجاد شده را Export گرفته و بصورت دستی بر روی کلاینت های شبکه نصب کنید که اصلا اینکار توصیه نمی شود . البته اگر جان دارید و جان شیرین خوش دارید می توانید این فایل را بر روی تمامی کلاینت های شبک که از اینترنت TMG استفاده می کنند بصورت دستی نصب کنید ، اشکالی نداره فقط یه خورده زمانگیره D: .

تصویر هفتم : خروجی گرفتن از Certificate مربوط به TMG برای استفاده در HTTPS Inspection



اگر طبق مراحل بالا عمل کرده باشید الان Certificate مورد نظر شما توسط سرویس Active Directory در شبکه Publish شده است. حالا اگر یک کلاینت به یک وب سایت HTTPS متصل شود ، برای مثال در تصویر زیر همانطور که مشاهده می کنید به وب سایت گوگل به آدرس https://www.google.com وارد شده ایم ، فایروال TMG از طرف وب سایت و در قالب Certificate خودش یک Certificate ایجاد می کند و در اختیار کلاینت قرار می دهد. همانطور که در تصویر زیر مشاهده می کنید به وضوع مشخص است که Certificate گوگل از طرف TMG ایجاد شده است.

شکل هشتم : مشاهده Certificate ایجاد شده توسط TMG بر روی کامپیوتر کلاینت



اگر بر روی گزینه View Certificates کلیک کنید همانطور که در تصویر زیر نیز مشاهده می کنید Certificate برای بانک سامان صادر شده است اما این Certificate در شبکه شما توسط TMG صادر شده است که دقیقا نام Certificate صادر شده را می توانید به وضوح مشاهده کنید.

تصویر نهم : مشخصات Certificate مربوط به HTTPS Inspection


با کلیک کردن بر روی تب Certification Path می توانید مسیر و سلسله مراتب صدور certificate را مشاهده کنید که در اینجا همانطور که مشاهده می کنید به نام Certificate ای است که توسط TMG ایجاد شده است و خدمات بانکداری در واقع زیر مجموعه این سرویس و این گواهینامه محسوب می شوند. حتما به قسمت Certificate Status در پایین تصویر دقت کنید ، این قسمت در حالت OK قرار دارد به معنی اینکه کار به درستی در حال انجام شدن است.

شکل دهم : مشاهده سلسله مراتب صدور Certificate توسط HTTPS Inspection



تبریک می گویم ، شما توانستید سرویس HTTPS Inspection را در شبکه خود راه اندازی کنید فقط چند نکته در خصوص تنظیمات و پیکربندی های مهم این سرویس باقی می ماند که به امید خدا در مقاله بعدی به آنها خواهیم پرداخت ، راه اندازی این سرویس به همین سادگی بود که گفتیم اما ترفند ها و نکات بسیار مهم و ریزی در خصوص راه اندازی این سرویس در شبکه وجود دارد که همیشه باید مورد توجه قرار بگیرد .

در قسمت قبلی در خصوص روش کارکرد و نحوه پیاده سازی قابلیت HTTPS Inspection در TMG صحبت کردیم در این مقاله قصد داریم یک سری نکات را در استفاده از این قابلیت با شما مرور کنیم. به دلایل مختلفی مدیران وب سایت ها ممکن است نخواهند ارتباطات HTTPS آنها Inspect یا واکاوی شود در چنین مواقعی که زور مدیر نیز زیاد است ، مثلا شما برای وب سایت بورس قابلیت HTTPS Inspection را گذاشته اید و مدیر شما می خواهد از این وب سایت استفاده کند و خوش ندارد کسی بتواند محتویات اطلاعات رد و بدل شده در این میان را متوجه شود.

برای این مورد نیز در HTTPS Inspection تمهیداتی دیده شده است، شما می توانید در تنظیمات HTTPS Outbound Inspection به تب Destination Exception یا مسیرهای استثناء شده بروید و با استفاده از گزینه Add وب سایت مورد نظر خود را برای جدا کردن از سرویس HTTPS Inspection قرار دهید.شما می توانید در این قسمت URL Category یا URL Category Set و همچنین Domain Name Set را برای ایجاد کردن لیست وب سایت های استثناء شده خود ایجاد کنید.

مقصدها و آدرس هایی که در این قسمت ها تعریف می شوند دیگر از داخل فرآیند HTTPS Inspection رد نمی شوند .اگر دقت کنید می بینید که یک سری وب سایت ها و آدرس ها بصورت پیشفرض در این قسمت قرار گرفته اند که معمولا مجموعه وب سایت های خود شرکت مایکروسافت هستند ، دقت کنید که حتی اگر اسم وب سایت شما در این قسمت قرار گرفته باشد فرآیندی به نام اعتبار سنجی Certificate ها یا Certificate Validation در هر حال برای این آدرس ها انجام می شود که در این خصوص بعدا بیشتر توضیح خواهیم داد.

فقط در اینجا تا این حد بدانید که شما می توانید Certificate Validation را نیز با استفاده از دکمه Validation برای هر کدام از دسته بندی های موجود در لیست تغییر دهید. همانطور که در تصویر زیر نیز مشاهده می کنید ما وب سایت انجمن تخصصی فناوری اطلاعات ایران را در این لیست قرار داده ایم و آدرس https://tosinso.com/ را در تصویر زیر مشاهده می کنید.


تصویر اول : لیست استثناء ها در HTTPS Inspection



همچنین شما می توانید در صورت نیاز استثناء های خود را برای مبدا تعیین کنید ، اگر در شبکه شما سیستم هایی وجود دارند که به هیچ عنوان نباید وارد سیستم و فرآیند HTTPS Inspection شوند شما می توانید براحتی این سیستم ها را در قسمت Source Exceptions با استفاده از دکمه Add مشابه تصویر پایین اضافه کنید و با اینکار دیگر اگر ترافیکی از این کامپیوترها یا مجموعه کامپیوترها وارد TMG شود اصلا فرآیند HTTPS Inspection بر روی آنها انجام نمی شود. برای مثال ما در قسمت پایین نمی خواهیم کامپیوتری به نام ITPRO-PC وارد فرآیند HTTPS Inspection شود.

تصویر دوم : لیست استثناء ها در HTTPS Inspection

اعتبارسنجی Certificate ها در HTTPS Inspection در TMG

یکی از مهمترین قابلیت هایی که در سرویس HTTPS Inspection در TMG وجود دارد Certificate Validation یا اعتبار سنجی Certificate ها می باشد. زمانیکه HTTPS Inspection فعال می شود فایروال TMG اعتبار Certificate موجود در وب سایت مقصد را بررسی می کند ، با اینکار TMG این قابلیت را دارد که در صورتیکه Certificate یک وب سایت منقضی شده باشد یا فاقد اعتبار باشد ارتباط با این وب سایت را Block کند ، یا حتی می تواند لیست Certificate های باطل شده یا Revocation List را نیز برای انجام بررسی های بیشتر بررسی کند. با این امکان امنیتی شما می توانید مطمئن باشید که کاربران شما به وب سایت های نامعتبر و ناامن از جمله صفحات Fake ای که هکرها ایجاد می کنند و به جای صفحات اصلی وب سایت با پروتکل SSL جا می زنند دسترسی پیدا نمی کنند.

تصویر سوم : اعتبار سنجی Certificate ها در HTTPS Inspection

اطلاع رسانی به کاربران در HTTPS Inspection

زمانیکه یک کاربر به وب سایتی که با استفاده از HTTPS حفاظت شده است متصل می شود به گمان خود یک ارتباط امن بدون مزاحم و شنود را تجربه می کند و گمان می کند که اطلاعات خود بصورت رمزنگاری شده منتقل می شوند و کسی نمی تواند در این میان اختلالی ایجاد کند. وقتی شما قابلیت HTTPS Inspection Outbound را فعال می کنید این حقیقت دیگر حقیقت نیست و به دلایل منطقی و طبیعتا الزام خط مشی های سازمان بایستی این مورد که ارتباطات شنود می شوند به اطلاع کاربران برسد و آنها بدانند که چنین قابلیتی در شبکه به وجود آمده است.

برای اینکه بتوانید به کاربران خود در این خصوص اطلاع رسانی کنید یکی از روش های جالب این است که بر روی سیستم کاربران مورد نظر نرم افزار Firewall Client را ابتدا نصب کنید، علاوه بر این کامپیوترهای شما باید عضو دامین باشند و در نهایت کافیست وارد قسمت Client Notification بشوید و تیک قسمت Notify users that their HTTPS traffic is being inspected را بزنید. با اینکار زمانیکه کاربر به یک وب سایت HTTPS وارد می شود همانطور که در تصویر پایین مشاهده می کنید پیامی مبنی بر Inspect شدن ترافیک این ارتباط دریافت می کند.

البته این مورد را صرفا زمانی استفاده کنید که به یک کشور خارجی مسافرت کرده اید در ایران کاربران اصلا متوجه چنین اخطاری نمی شوند و تازه ممکن است بگویند شبکه مشکل دارد یا چند تا فحش هم بخورید اما خوب دانستن این موضوع خالی از لطف نیست ، آن هم برای کاربرای که CD و DVD رام خود را به عنوان جا لیوانی می شناسند ( به خدا ... جا لیوانی !!! )


تصویر چهارم : اطلاع رسانی به کاربران زمان اتصال به HTTPS



تصویر پنجم : اطلاع رسانی به کاربران در خصوص Inspect شدن ترافیک HTTPS

مشکلات و مسائل شناخته شده در مورد HTTPS Inspection در فایروال TMG

همانطور که قابلیت HTTPS Inspection یک اصل امنیتی درست و درمان در یک سازمان محسوب می شود و در بسیاری از خط مشی های امنیتی سازمانی می توان آن را اجرا و استفاده کرد ، در کنار این همه مزیت مشکلات و مسائلی نیز در خصوص این قابلیت وجود دارد که مهمترین آنها به شرح زیر هستند :

  • از کار افتادن نرم افزار تحت وب : HTTPS Inspection خواسته یا ناخواسته جلوی اجرای درست برخی از نرم افزارهای تحت وب مبتنی بر SSL را می گیرد. این به دلیل آن است که برنامه نویسی که این نرم افزار را نوشته است هیچگاه تصوری از این نداشته است که قرار است یک فایروال لایه هفتم یا Application Layer Firewall ترافیک عبوری از ارتباطات این نرم افزار را Inspect کند.اگر کد نرم افزاری که داخل Session مربوط به HTTPS قرار گرفته است مبتنی بر استاندارد و RFC نباشد فیلتر HTTP ای که در TMG وجود دارد ترافیک آن را مسدود می کند. علاوه بر این هر پروتکل غیر از HTTP که از Tunnel موجود در HTTPS استفاده می کند و در همان Session وجود دارد نیز مسدود خواهد شد. (خداروشکر همه برنامه نویس های ایرانی بر اساس استاندارد و RFC نرم افزارهای تحت وبشون رو می نویسن و شما از این بابت می تونه خیالتون راحت باشه ... به خداااا )


  • Address Bar سبز نمی شود : دقت کرده اید که زمانیکه به یک وب سایت HTTPS متصل می شوید ، البته نه همه آنها بلکه برخی از آنها ، Address Bar شما به رنگ سبز در می آید به معنای اینکه Certificate موجود در این وب سایت قابل اعتماد و معتبر است.اینکار در واقع یک نوع سرویس است که به اسم Extended Validation شناخته می شود ، با استفاده از HTTPS Inspection به دلیل اینکه تداخل Certificate ها در TMG پیش می آید کاربران ممکن است این رنگ سبز را مشاهده نکنند که البته ربطی به کارایی وب سایت ندارد و وب سایت به درستی کار می کند.


  • عدم کارکرد درست با سیستم های غیر Domain : هر دستگاهی که عضو دامین شما نیاشد یا نمی تواند به عضویت دامین شما در بیاید قطعا مشکلاتی در برقراری ارتباط با استفاده از HTTPS Inspection خواهد داشت ، این نوع از سیستم ها بایستی بصورت دستی پیکربندی شوند و همین موضوع می تواند باعث دردسر مدیریت در شبکه شود مخصوصا اگر تعداد این سیستم ها در شبکه زیاد باشد.


قبل از اینکه HTTPS Inspection را در شبکه پیاده سازی کنید حتما و حتما و حتما موضوع را با معاون فناوری اطلاعات سازمان و بعد از آن با مدیریت سازمان و بعد از آن با حراست سازمان و بعد از آن با هر کوفت و زهر ماری که خرش در سازمان برو دارد در میان بگذارید و تاییدیه های نهایی را جهت پیاده سازی این سیستم دریافت کنید ، واکاوی و شنود اطلاعات محرمانه رمزنگاری شده ارتباطات کاربران می تواند برای شما در صورت عدم داشتن مجوزهای لازم گران تمام شود .

قبل از پیاده سازی چنین سیستم های مانیتورینگ در شبکه سعی کنید خط مشی امنیتی در سازمان تهیه و تدوین کنید که در آن صراحتا به این موارد اشاره شده باشد تا کاربر حق اعتراضی در این خصوص نداشته باشد. چه بخواهیم و چه نخواهیم در سازمان ما از ایمیل های عمومی استفاده می شود و می تواند عدم مانیتورینگ روی این ایمیل ها عواقب خطرناکی برای سازمان در پی داشته باشد. از ما گفتن بود ، ما حجت را بر شما تمام کردیم حال خواه پند گیر و خواه ....

خلاصه

HTTPS Inspection یکی از قابلیت های جدید و قدرتمند نرم افزار فایروال forefront TMG می باشد. با استفاده از این قابلیت می توانید راه نفوذ بسیاری از هکر ها و کدهای مخربی که از طریق پروتکل SSL به شبکه حمله می کردند را مسدود کنید.

HTTPS Inspection یک لایه امنیتی بسیار قوی برای TMG ایجاد می کند تا در مقابل حملات هکری تحت وب بتواند عملکرد بهتری داشته باشد. زمانیکه HTTPS Inspection را فعال می کنید و آن را پیکربندی می کنید ، TMG بهتر قادر به شناسایی کدهای مخرب ، اعمال URL Filtering و موارد از این قبیل خواهد بود. امیدوارم که این دو مقاله مورد توجه شما قرار گرفته باشد ، اگر عمری باقی باشد با مقالات دیگری در خدمت شما خواهیم بود. 


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، بنیانگذار انجمن تخصصی فناوری اطلاعات ایران و مجموعه توسینسو ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 80 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر و ناظر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات